Trojanac Cutwail skriva se i brani

Cutwail također ima trojanske rootkit značajke, pa otkrivanje i uklanjanje nije lak zadatak.

A Cutwail Trojanci čine puno da ga što duže skrivaju u zaraženom sustavu. Ako ga otkrije, napravit će toliko promjena u sustavu Windows da će ga možda biti teško ukloniti. To je zato što Trojanac također zaražava razne sistemske datoteke u sustavu Windows i skriva se iza različitih sistemskih procesa. Oštećuje važne datoteke poput winlogon.exe.

Trojanac se može ažurirati putem Interneta, kao i preuzeti razne zlonamjerne programe.

Kad se trojanski Cutwail pokrene, izvršava sljedeće radnje:

1. Stvorite sljedeće datoteke u direktoriju Windows System32 ili Temp:
   [slučajni brojevi] .sys
   cel90xbe.sys
   vratiti.sys
2. Stvara Windows uslugu s jednim od sljedećih naziva:
   Ip6Fw
   NetDetect
   Secdrv 
3. U nekim slučajevima kopira datoteku runtime.sys na pogon C: \, a zatim je učitava u memoriju.
4. Sljedeći unosi dodani su u bazu podataka o registraciji:
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Start = 0x3
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime \ ImagePath =
   “\??\%Windows%\System32\drivers\\\untime.sys”
5. Inficira proces povezan s Internet Explorerom.
6. Pokušava se ažurirati putem interneta, kao i preuzeti razne zlonamjerne datoteke.
7. Sljedeći unosi dodani su u bazu podataka o registraciji:
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x3
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ErrorControl = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
   “>\??\%Windows%\System32\drivers\\\untime2.sys”
8. Učitava datoteku runtime2.sys u memoriju.
9. Stvara sljedeće unose u bazi podataka za registraciju:
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ ImagePath =
   “\SystemRoot\system32\drivers\\\untime2.sys”
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Type = 0x1
   HKLM \ SYSTEM \ CurrentControlSet \ Services \\\ untime2 \ Start = 0x1
   HKLM\SYSTEM\CurrentControlSet\Services\\\untime2\DependOnGroup = “Sustav datoteka”
   HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \\\ untime2.sys \
   (zadano) = “Vozač”
   HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \\\ untime2.sys \
   (zadano) = “Vozač”
   HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ startdrv
   = “%Windows%\Temp\startdrv.exe”
10. Izmjenjuje ili briše sistemsku datoteku% Windows% \ System32 \ winlogon.exe.
11. Briše datoteku koja se zove imapi.exe (ako postoji).